Oficina de Software Libre

Primero seguir los pasos del how-to de la pagina www.ssl.ull.es para instalar el winbind.

Configuración

1. Una vez instalado el windbind pasamos a configurar el samba:

   Lo primero establecer las características de seguridad:

   security = ADS
   realm =  midominio.es                            # reino en este caso es el dominio
   password server = AD_server.midominio.es    # KDC que en este caso es el servidor de DA
   
   
   workgroup = MIDOMINIO    
   winbind use default domain = yes
   netbios name = cliente                                      # Nombre Netbios del equipo cliente
   winbind separator = '\'
   idmap uid = 10000-20000
   idmap gid = 10000-20000
   winbind enum users = yes
   winbind enum groups = yes
   
   template homedir = /home/winnt/%D/%U
   template shell = /bin/bash
   

2. En /etc/host ponemos el domino al que pertenece la máquina, hay que tener cuidado con la primera asociación de nombre ya que esa es la que va a coger el AD como nombre DNS de la máquina:

   127.0.0.1       cliente.midominio.es      cliente localhost
   192.168.100.174 cliente.midominio.es
   

3. Instalar un servidor KDC y ponerle el reino como el del DA. en este caso midominio.es

    apt-get install krb5-kdc
   

   Este comando me instala las librerias de kerberos MIT. En la configuración ponemos al KDC del reino las dirección completa del servidor AD al que nos hemos unido.

   Configuracion de kerberos "/etc/krb5.conf":

   [libdefaults]
       default_realm = MIDOMINIO.ES
   [realms]
       MIDOMINIO.ES = {
           kdc = AD_server.midominio.es
           admin_server = AD_server.midominio.es
           default_domain = midominio.es
       }
   [domain_realm]
       midominio.es = MIDOMINIO.ES
       .midominio.es = MIDOMINIO.ES
   

4. Para poder unir la máquina al dominio con exito esta no debe estar en el AD y si está hay que limpiar sus credenciales lo que se puede hacer presionando con el boton derecho sobre ella.

   Para poder unir la máquina con exito al dominio tienes que usar el comando:

   net ads join -U administrador -S ad_server.midominio.es 
   

   Es posible que surjan problemas si no estamos en la misma subred, ya que hay puertos filtrados, si da error mirar puertos.

   El comando net ads usa kerberos para autenticación así que el servidor kerberos ha de estar bien configurado, y el DNS debe resolver bien la ip del KDC

   Una vez unido con exito al dominio debe poder hacer

   wbinfo -t
   wbinfo -D midominio     ==>> Muestra toda la información disponible del dominio 
   wbinfo -m             ==>> Muestra dominios de confianza, entre ellos debe 
                                                  aparecer al cual nos hemos unido
   

5. Una vez unidos al dominio si aún no podemos hacer un "wbinfo -u" miramos el fichero de log del winbindd que se encuentra en "/var/log/samba/log.winbind", si el error que aparece es que no puede localizar un KDC válido es que aún no hemos instalado las librerias kerberos.

6. Instalación finalizada ahora el wbinfo -u si que funciona y podemos validarnos como un usuario del directorio activo.

WinBind con Idmap en LDAP

Para que el winbind almacene el mapeo entre SID de windows y usuarios linux en el servidor LDAP seguiremos los siguientes pasos:

1. En "/etc/samba/smb.conf" definir que el backend del samba va a ser LDAP:

   ldap admin dn = cn=admin,dc=fmat,dc=ull,dc=es   # Definimos el usuario con permiso para escribir en el LDAP
   ldap suffix = dc=fmat,dc=ull,dc=es                  # Sufijo del dominio.
   ldap idmap suffix = ou=Idmap                          # OU donde se almacenarán los mapeos de SID uid gid
   idmap backend = ldap:ldap://servidorLDAP/             # Servidor de LDAP 
   

   NOTA: En el servidor LDAP debe estar creada dicha unidad organizativa (ou=Idmap,dc=fmat,dc=ull,dc=es) y el usuario del "ldap admin dn" debe tener permiso de escritura en ella. En esta unidad organizativa se guardan los mapeos y el numero del ultimo uid y gid insertados para que la concesión de uid y gid sean coherentes.

2. Añadimos al fichero secret.tdb el password del usuario que hemos puesto en "ldap admin dn":

   smbpasswd -w clave_del_ldap_admin_dn
   

   con la utilidad "tdbdump" que viene con samba podemos ver el contenido del fichero secret.tdb o cluaquier otro similar.

3. Borramos el fichero local de mapeos, de SID del winbind:

   rm /var/lib/samba/winbindd_idmap.tdb
   

   NOTA: Como veremos luego el windbind sigue creando este fichero a pesar de crear las entradas tambien en el LDAP. Sin embargo este fichero no contienen mas que una réplica de lo que está en el servidor LDAP, por loq eu no conlleva ningún riesgo almenos en principio.

4. Es posible que tengamos que volver a unir la máquina al dominio por que alguna vez se nos ha desconfigurado

   net ads join -S tumbo.csi.ull.es -U administrador
   

5. Reiniciar servicos samba y windbind

   /etc/init.d/samba restart
   /etc/init.d/winbindd restart
   

6. Comprobar que en el fichero de log del windbind no aparece ningun error a la hora de contactar con el servidor LDAP para el imap back-end.

7. Comprobar que windbind está correctamente funcionando:

   wbinfo -g
   wbinfo -u
   wbinfo -t
   

8. Ahora debería estar funcionando el

   su usuariodel_AD
   

   con el comando "id" podemos ver el id que se ha asociado al usuario y comprobar con "ldapsearch" que es el mismo que se ha creado en el LDAP.

9. Resolución de problemas:

   Si no podemos contactar con el servidor LDAP puede ser que la solicitud no este llagando a él o que el dn este mal, podemos ver los log del servidor LDAP en "/var/log/syslog"

   También es importante realizar las consultas correspondientes al servidor para comprobar que la información de los mapeos se esta insertando

   ldapsearch -x -W -D 'cn=admin,dc=fmat,dc=ull,dc=es' -b 'ou=Imap,dc=fmat,dc=ull,dc=es' 
   

   Con esto deben aparecer todos los mapeos de SID uid gid de los usuarios insertados, también aparecerán los grupos a los quepertenecen los usuarios que han hecho inicio de sesión